Новости и события » Общество » Представлен способ превращения антивирусов в инструмент для самоуничтожения

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Специалисты компании RACK911 Labs продемонстрировали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.

Большинство антивирусных решений работают по одной схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в "карантин" - защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями, что, по словам специалистов RACK911 Labs, "открывает двери для широко спектра уязвимостей в безопасности и неопределенностей параллелизма" (так называемое "состояние гонки" или race condition).

Как сообщают исследователи, в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Локальный злоумышленник или вредоносное ПО может вызвать неопределенность параллелизма с помощью символических ссылок и, воспользовавшись привилегированным статусом действий с файлом, отключить антивирусное ПО или сделать его полностью бесполезным.

Исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, сделав его бесполезным, и даже удалить ключевые системные файлы и тем самым вызвать серьезные повреждения, потребовавшие переустановки ОС.

По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное - определить точное время, когда нужно выполнить directory junction или symlink. В данной атаке тайминг играет ключевую роль, поскольку опоздание даже на одну секунду сделает эксплоит бесполезным. Однако в случае с некоторыми антивирусными решениями тайминг не имел никакого значения, и для запуска их самоуничтожения было достаточно закольцевать запуск эксплоита.

Компания RACK911 Labs начала рассылать уведомления затронутым вендорам осенью 2018 года, и большинство из них, за небольшим исключением, уже исправили уязвимость.


Магія східної кухні: особливості та традиції

Магія східної кухні: особливості та традиції

Східна кухня відома різноманіттям ароматів та смаків. Вона заснована на глибоких традиціях, історії та має особливості приготування. Звички формувалися впродовж багатьох століть під впливом різних культур та географічних особливостей. Вони присутні в кожній...

вчера 15:32

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх